Check Point Research (CPR) meldet, dass Hacker Internet Explorer-Verknüpfungsdateien (.url) nutzen, um Windows-Nutzer zur Ausführung von Remotecode zu verleiten. CPR empfiehlt einen sofortigen Patch von Microsoft.
Angreifer verwenden spezielle .url-Dateien, die den veralteten Internet Explorer aufrufen, um eine bösartige URL zu besuchen und den gefährlichen ".hta"-Erweiterungsnamen zu verbergen. Trotz moderner Windows-Betriebssysteme nutzen sie IE anstelle des sicheren Edge-Browsers, um sich Vorteile zu verschaffen.
Die bösartigen .url-Dateien könnten bereits seit Januar 2023 verwendet worden sein. Hacker nutzen häufig .url-Dateien als ersten Angriffsvektor, auch bei neuen Schwachstellen wie CVE-2023-36025.
CPR rät Windows-Anwendern, bei .url-Dateien von unbekannten Quellen vorsichtig zu sein. Der Angriff funktioniert durch den "mhtml"-Trick, der IE aufruft, und täuscht Benutzer, vermeintliche PDF-Dateien zu öffnen, die tatsächlich gefährliche .hta-Anwendungen sind.
Eine vollständige Analyse dieses Angriffs findet sich im CPR-Blog.